The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка  RSS
"Вход под su с разрешения другого админа."
Вариант для распечатки  
Пред. тема | След. тема 
Форумы Информационная безопасность (Public)
Изначальное сообщение [Проследить за развитием треда]

"Вход под su с разрешения другого админа."  
Сообщение от mrsol email(ok) on 06-Сен-07, 15:16 
Интересует следующая возможность. Есть ли реализации нижеописанного или в каком направлении копать.
Задача, чтобы в системе были залогинены мимнимум два разных админы под рута. Которые должны следить за действиями друг-друга. Нужно чтобы админ который зашол по сети получал права рута по su только с разрешения другого админа, который тоже входит в группу wheel.
То есть приблизительно это я вижу так, админ логинется под своим логином. Пытается получить рут доступ через su, его спрашивает пароль и если всё нормально, то остальным админам, которые зарегены на сервере высылаются сообщения (email, sms и т.д.), что кто-то хочет получить рута. Кто-то из них логинется, и подтверждает его правомочия получения рута. При этом он сам заходит под рута. И находится в системе. Если же другие админы уже залогинены в системе, то могут подтвердить его правомочия на рута оттуда.
Также при этом чтобы каждый из админов мог видеть лог другого админа, в данной сессии. И эти логи сохранялись. Все логи, вплоть до открытия файла на чтение.
Если в системе остается залогинено менее двух админов, то этот единственный автоматически должен выйти из подрута.
Может быть есть какие-то реализации, приложения в таком духе, но непонятно в какую сторону капать.
Операционка freebsd, но также интересует под linux
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

 Оглавление

Сообщения по теме [Сортировка по времени, UBB]


1. "Вход под su с разрешения другого админа."  
Сообщение от maxsvet (??) on 06-Сен-07, 15:40 
>[оверквотинг удален]
>админы уже залогинены в системе, то могут подтвердить его правомочия на
>рута оттуда.
>Также при этом чтобы каждый из админов мог видеть лог другого админа,
>в данной сессии. И эти логи сохранялись. Все логи, вплоть до
>открытия файла на чтение.
>Если в системе остается залогинено менее двух админов, то этот единственный автоматически
>должен выйти из подрута.
>Может быть есть какие-то реализации, приложения в таком духе, но непонятно в
>какую сторону капать.
>Операционка freebsd, но также интересует под linux

уж слишком все запутано,
sudo
и нужные настройки (man sudo)

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

2. "Вход под su с разрешения другого админа."  
Сообщение от parad on 06-Сен-07, 17:50 
>[оверквотинг удален]
>админы уже залогинены в системе, то могут подтвердить его правомочия на
>рута оттуда.
>Также при этом чтобы каждый из админов мог видеть лог другого админа,
>в данной сессии. И эти логи сохранялись. Все логи, вплоть до
>открытия файла на чтение.
>Если в системе остается залогинено менее двух админов, то этот единственный автоматически
>должен выйти из подрута.
>Может быть есть какие-то реализации, приложения в таком духе, но непонятно в
>какую сторону капать.
>Операционка freebsd, но также интересует под linux

Если нет доверия к людям с правами рута, то лучше их отобрать. Даже если есть доверие - тоже лучше отобрать (по опыту могу сказать - эти люди опустят систему, потом еще будут возникать почему не придусмотено что среди нас есть те, кто способен в корне набрать по-ошибке rm -R ./) - и никакой мониторинг действий не поможет. Как вариант ограничить действия при помощи sudo - чаще всего необходимость прав рута определена 2-3 командами.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

3. "Вход под su с разрешения другого админа."  
Сообщение от mrsol email(ok) on 07-Сен-07, 16:27 
>[оверквотинг удален]
>>какую сторону капать.
>>Операционка freebsd, но также интересует под linux
>
>Если нет доверия к людям с правами рута, то лучше их отобрать.
>Даже если есть доверие - тоже лучше отобрать (по опыту могу
>сказать - эти люди опустят систему, потом еще будут возникать почему
>не придусмотено что среди нас есть те, кто способен в корне
>набрать по-ошибке rm -R ./) - и никакой мониторинг действий не
>поможет. Как вариант ограничить действия при помощи sudo - чаще всего
>необходимость прав рута определена 2-3 командами.

Я же не спрашивал о кадровой политике, или политике доверия людям. Просто есть такая задача, и как её реализовать я в данный момент я не знаю.


Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру